เพียงเพราะบางสิ่งไม่ได้อยู่ในนั้น ไม่ได้หมายความว่าผู้คนจะไม่สามารถขอมันได้ ;)
หากไคลเอนต์ (เว็บเบราว์เซอร์หรืออย่างอื่น) ขอบางอย่างจากเว็บเซิร์ฟเวอร์ของคุณ คำขอนี้จะถูกบันทึกในบันทึกการเข้าถึง - ไม่ว่าคำขอจะได้รับการตอบสนองสำเร็จหรือไม่ก็ตาม
เช่น คุณพิมพ์ผิดและขอ https://www.some-site.tld/newes
แทน https://www.some-site.tld/news
. มีโอกาสที่เซิร์ฟเวอร์ที่อยู่เบื้องหลัง บาง-site.tld
จะตอบด้วยรหัสตอบกลับ 404 (หมายถึง "ไม่พบ") และจะบันทึกคำขอของคุณไปที่ ใหม่
ในบันทึกการเข้าถึง จากนั้นผู้ดูแลระบบของเซิร์ฟเวอร์นี้จะเห็น ใหม่
ในบันทึกของพวกเขา แม้ว่าเส้นทางนี้อาจไม่มีอยู่ในเซิร์ฟเวอร์ของพวกเขา
รายการบันทึกสองในสามรายการของคุณมาจากคำขอที่ล้มเหลวดังกล่าว:
[26/ก.ย./2021:20:13:32 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21 HTTP/1.1 " 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
หมายความว่ามี รับ
คำขอเมื่อ 26/ก.ย./2021:20:13:32 +0000 ขอ /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP21
. เซิร์ฟเวอร์ของคุณตอบด้วยรหัสตอบกลับ 401 (หมายถึง "ไม่ได้รับอนุญาต" หรือในเงื่อนไขคนธรรมดา "คุณไม่ได้รับอนุญาตให้ไปที่นั่น")
คล้ายกับ
[26/ก.ย./2021:20:13:33 +0000] "GET /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 401 19 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
ที่นี่ มีคนถามเซิร์ฟเวอร์ของคุณในวันที่ 26/ก.ย./2021:20:13:33 +0000 สำหรับ /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
. เซิร์ฟเวอร์ของคุณตอบอีกครั้งด้วยรหัส 401
คำขอที่สาม
[26/Sep/2021:20:13:34 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 200 1298 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, เช่น Gecko) Chrome/78.0.3904.108 Safari/537.36"
หมายความว่ามีคนถามเซิร์ฟเวอร์ของคุณเมื่อ 26/Sep/2021:20:13:33 +0000 สำหรับ /?XDEBUG_SESSION_START=phpstorm
. คำขอนี้ได้รับคำตอบสำเร็จ ตรงกันข้ามกับสองรายการแรก เซิร์ฟเวอร์ของคุณส่งรหัส 200 (หมายถึง "ตกลง")
การรับคำขอเช่นนี้ในตัวเองไม่จำเป็นต้องเป็นปัญหา ผู้โจมตีใช้ระบบอัตโนมัติเพื่อสแกนอินเทอร์เน็ตส่วนใหญ่เพื่อหาช่องโหว่ที่อาจเกิดขึ้นตัวอย่างเช่น เนื่องจาก WordPress แพร่หลายมาก ระบบดังกล่าวจึงพยายามเข้าถึงเส้นทาง WordPress ภายในเกี่ยวกับเซิร์ฟเวอร์ใดๆ ก็ตามที่พวกเขาสามารถทำได้ ไม่ว่าเซิร์ฟเวอร์นี้จะเคยเห็นการติดตั้ง WordPress หรือไม่ก็ตาม เปรียบเหมือนโจรย่องเบาเดินไปตามถนนและตรวจดูบ้านทุกหลังเพื่อหาหน้าต่างที่เปิดอยู่ ตราบใดที่หน้าต่างของคุณปิดสนิท คุณก็น่าจะสบายดี
มันเริ่มเป็นปัญหาเมื่อหน้าต่างของคุณ ไม่ได้ ปิดอย่างถูกต้อง ดังนั้นคุณยังคงต้องตรวจสอบบันทึกของคุณเป็นประจำและตรวจสอบว่ามีการร้องขอที่อยู่ที่อาจเป็นปัญหาจากคุณจริงหรือไม่ ทำ มีบนเซิร์ฟเวอร์ของคุณ